加特兰网络安全白皮书《加特兰网络安全管理体系》介绍了加特兰构建的网络安全管理体系,涵盖从网络安全管理到网络安全活动等各方面,覆盖加特兰毫米波雷达芯片产品全生命周期,为产品网络安全提供有效保障。
随着汽车电子控制单元的增加,集行车安全和娱乐功能为一体的智能网联车辆为用户提供了许多便利。但车辆安装的电子组件越多,越容易受到黑客攻击,所以车辆设计须要采取充分的网络安全措施,以防范网络攻击。面对汽车网络安全风险,加特兰主动出击,建立了网络安全方针和流程,并获得ISO/SAE 21434:2021认证,保障汽车网络安全。目前,加特兰在雷达芯片解决方案项目上的开发,严格遵守ISO/SAE 21434:2021与ASPICE标准的要求,以实现产品网络安全风险最小化,提高产品质量。
2022年6月,加特兰启动ISO/SAE 21434:2021《道路车辆—网络安全工程标准》认证工作,旨在让汽车SoC产品和解决方案的开发满足相关要求。2023年6月,加特兰获得德国TÜV莱茵颁发的ISO/SAE 21434:2021证书,成为中国半导体行业率先获得该认证的芯片公司,证明了加特兰具备网络安全开发和管理方面的必备能力并获得认可。加特兰还邀请第三方每年对流程进行复审,确保流程和流程在项目上的实施无偏差。
图1 加特兰汽车网络安全管理体系认证
基于现有方针和流程,加特兰已建立网络安全方针、过程、指南和模板,从而形成网络安全管理体系,以满足ISO/SAE 21434:2021标准要求。加特兰的网络安全管理体系涵盖了以下方面:
1. 组织网络安全管理
2. 项目网络安全管理
3. 分布式网络安全活动
4. 持续的网络安全活动
5. 概念开发
6. 产品开发
7. 后开发阶段
8. 威胁分析和风险评估
图2 加特兰网络安全管理体系
加特兰已将网络安全管理纳入现有的组织结构中。
加特兰的组织网络安全管理工作包括:
此外,加特兰进行年度组织审计,以确保符合网络安全管理体系的要求,并在企业提供定期的网络安全培训,以提高员工的网络安全意识。
加特兰的产品网络安全开发流程会集成到基于V模型的产品开发框架中。针对所有与网络安全相关的活动和工作产物,加特兰定制了网络安全计划。加特兰也制定了网络安全档案,以验证所有工作产物的完成情况,并通过网络安全评估验证产品是否符合网络安全要求。
加特兰建立了供应商选择和管理流程,以尽可能降低供应商引入的网络安全风险。在与供应商的网络安全接口协议中,加特兰会指定分布式网络安全活动。在选择供应商前,加特兰也对供应商进行评估。选定后,加特兰对供应商进行周期性审计,从而确保产品网络安全。
加特兰在产品全生命周期持续进行网络安全活动。
加特兰通过定期搜索产品相关的网络安全关键词,实现网络安全的持续监控。如果持续监控中发现潜在的安全漏洞,则会及时对网络安全事件进行评估。
此外,加特兰基于公共网络安全网站、之前产品的威胁分析和风险评估(Threat Analysis and Rrisk Assessment, TARA)以及FAE提交的报告等来源,执行漏洞分析,以评估产品在已知漏洞方面的安全性。
加特兰也建立了网络安全事件响应流程。如果发生网络安全事件,将迅速有效地采取措施,以减轻可能的网络安全风险。加特兰成立的产品网络安全事件响应小组将接收和响应潜在的网络安全漏洞报告。
图3 加特兰网络安全事件响应流程
首先,在独立安全元素(SEooC)分析中,加特兰通过假设定义终端用户的应用场景,以建立网络安全分析的基线,然后在终端用户应用场景中识别网络安全相关资产。这些资产将作为威胁分析和风险评估的输入。通过威胁分析和风险评估,得到相关的网络安全目标和网络安全声明。此外,加特兰也定义了网络安全概念。
图4 加特兰网络安全概念开发
在产品开发阶段,加特兰定义网络安全的需求、设计、集成以及验证。研发部门从网络安全目标和假定的客户需求中派生出系统需求,再从系统需求中派生出软件和硬件需求,由开发人员进行具体设计。软件和硬件开发人员根据分配的需求设计产品,并进行测试和验证,以确保满足需求。加特兰也定义了后开发阶段的网络安全需求,从而帮助客户实现网络安全控制手段。
图5 加特兰产品开发阶段的网络安全
加特兰通过以下措施保证产品后开发阶段的网络安全:
威胁分析和风险评估(TARA)用于评估道路用户面对的网络安全风险。在独立安全元素分析中识别出的网络安全相关资产,是TARA分析的输入。
TARA分析首先识别网络安全资产的网络安全属性(机密性、可用性、真实性、完整性、授权性、不可否认性)以及每个属性对应的损害场景,接着基于分析相应的安全影响、经济损失影响、车辆运行影响和隐私影响,对损害场景对应的影响等级进行评估。之后通过STRIDE(Spoofing, Tampering, Repudiation, Information disclosure, Denial of service, Elevation of privilege)方法论分析得到损害场景对应的威胁场景。然后通过自上而下的分析方法,可得到威胁场景的潜在攻击路径,并通过分析每条攻击路径的攻击潜力,得出攻击可行性和对应的威胁等级。
最后,通过影响等级和威胁等级,可得出对应的风险等级(Risk Level)和风险处理手段。
此外,通过分析最大影响等级和攻击矩阵,将得到网络安全保障级别(Cybersecurity Assurance Level,CAL),该级别会对相应的网络安全目标提出测试方法的需求。
图6 加特兰威胁分析和风险评估
加特兰将根据风险等级处理风险:对于严重和高风险的攻击路径,加特兰会降低或规避风险,并与客户共享相关信息;对于需要客户处理的风险,加特兰会通过网络安全手册和TARA报告告知客户。
汽车供应链中,从芯片开始的每个环节都面临网络安全提出的挑战。加特兰通过网络安全管理体系以及在项目上应用的网络安全流程,更好地保证芯片产品网络安全,为整车网络安全提供坚实的后盾。